19.12. Аутентификация по сертификату
Для аутентификации в рамках этого метода используется клиентский сертификат SSL, поэтому данный способ применим только для SSL-подключений (инструкции для конфигурации SSL находятся в Подразделе 17.9.2). Когда используется этот метод, сервер потребует от клиента предъявления действительного и доверенного сертификата. Пароль у клиента не запрашивается. Атрибут cn
(Обычное имя) сертификата сравнивается с запрашиваемым именем пользователя базы данных, и если они соответствуют, вход разрешается. Если cn
отличается от имени пользователя базы данных, то может быть использовано сопоставление имён пользователей.
Для аутентификации по SSL сертификату доступны следующие параметры конфигурации:
map
Позволяет сопоставить имена пользователей системы и базы данных. За подробностями обратитесь к Разделу 19.2.
В записи pg_hba.conf
, описывающей аутентификацию по сертификату, параметр clientcert
предполагается равным 1
, и его нельзя отключить, так как для этого метода клиентский сертификат является обязательным. Метод cert
отличается от простой проверки пригодности сертификата clientcert
только тем, что также проверяет, соответствует ли атрибут cn
имени пользователя базы данных.